SteamHide oculta el malware en las imágenes de perfil de Steam
Analistas de G Data han descubierto un método SteamHide inusual que oculta malware en los metadatos de las imágenes de los perfiles de Steam.
Fo la primera vez, Imágenes extrañas en Steam fueron descubiertas por el investigador de ciberseguridad Miltinhoc, quien habló sobre su hallazgo en Gorjeo Al final de Mayo 2021.Los investigadores de G Data dicen que a primera vista, tales imágenes son inofensivas. Las herramientas EXIF estándar no detectan nada sospechoso en ellas, excepto que advierten que la longitud de los datos en el perfil ICC es incorrecta.
sin embargo, en realidad, en lugar de un perfil ICC (que generalmente se usa para mostrar colores en dispositivos externos, como impresoras), tales imágenes contienen malware encriptado (dentro del valor PropertyTagICCProfile).
General, Ocultar malware en los metadatos de las imágenes no es un fenómeno nuevo en absoluto, los investigadores admiten. sin embargo, El uso de una gran plataforma de juegos como Steam para alojar imágenes maliciosas complica significativamente las cosas.. Los atacantes pueden reemplazar el malware en cualquier momento, tan fácil como cambiar el archivo de imagen de perfil.
Al mismo tiempo, Steam simplemente sirve como una herramienta para los piratas informáticos y se utiliza para alojar malware. Toda la mayor parte del trabajo involucrado en la descarga, desembalaje, y la ejecución de dicha carga útil la realiza un componente externo que accede a la imagen del perfil de Steam. Esta carga útil también se puede distribuir de la forma habitual, en correos electrónicos o en sitios pirateados.
Los expertos enfatizan que las imágenes de los perfiles de Steam en sí no son ni “infeccioso” ni ejecutable. Son solo un medio para transportar el malware real, que requiere un segundo malware para extraer.
El segundo malware fue encontrado por investigadores de VirusTotal y es un descargador. Tiene una contraseña codificada "{PjlD \bzxS #;8@\x.3JT&<4^ MsTqE0″ y utiliza TripleDES para descifrar cargas útiles a partir de imágenes.
En el sistema de la víctima, el malware SteamHide primero solicita Win32_DiskDrive para VMWare y VBox y se cierra si existen. Luego, el malware verifica si tiene derechos de administrador e intenta elevar los privilegios utilizando cmstp.exe.
En el primer lanzamiento, se copia a sí mismo en la carpeta LOCALAPPDATA usando el nombre y la extensión especificados en la configuración. SteamHide se fija al sistema creando la siguiente clave en el registro: \Software Microsoft Windows CurrentVersion Run BroMal
La dirección IP del servidor de administración SteamHides se almacena en Pastebin, y se puede actualizar a través de un perfil de Steam específico. Como el cargador, extrae el ejecutable de PropertyTagICCProfile. Además, la configuración le permite cambiar el ID de las propiedades de la imagen y la cadena de búsqueda, es decir, en el futuro, Se pueden usar otros parámetros de imagen para ocultar malware en Steam.
Por ejemplo, el malware comprueba si Teams está instalado comprobando la presencia de SquirrelTemp SquirrelSetup.log, pero despues de eso a nadie le pasa esta informacion. Quizás esto sea necesario para verificar las aplicaciones instaladas en el sistema infectado para que puedan ser atacadas más tarde.
Los especialistas también descubrieron el ChangeHash() talón, y parece que el desarrollador de malware planea agregar polimorfismo a versiones futuras. El malware también puede enviar solicitudes a Twitter., que en el futuro se puede utilizar para recibir comandos a través de Twitter, o el malware puede actuar como un bot de Twitter.
Déjame recordarte que Los investigadores descubrieron el malware Siloscape dirigido a contenedores de Windows Server y clústeres de Kubernetes.
